Vairogs
SākumsLikumi Finanšu tirgus digitālās darbības noturības un mākslīgā intelekta izmantošanas likums11. pants
Finanšu tirgus digitālās darbības noturības un mākslīgā intelekta izmantošanas likums

11. pants
Sankciju un administratīvo pasākumu piemērošana

(1) Latvijas Banka ir tiesīga šā likuma 10. panta pirmajā daļā noteiktās sankcijas un ceturtajā daļā noteiktos administratīvos pasākumus piemērot, ja fiziskā vai juridiskā persona neievēro:

1) Regulas Nr. 2022/2554 5. pantā noteiktās prasības par IKT riska pārvaldību un organizāciju, tai skaitā iekšējās pārvaldības un kontroles sistēmas darbības prasību nodrošināšanu un atbilstību prudenciālajai pārvaldībai;

2) Regulas Nr. 2022/2554 6. pantā noteiktās prasības par IKT riska pārvaldības sistēmu, tai skaitā atbilstošas IKT riska pārvaldības sistēmas izveidošanu un uzturēšanu tā, lai minētās sistēmas veidotu daļu no finanšu tirgus dalībnieku — finanšu vienību — vispārējās riska pārvaldīšanas sistēmas un ļautu tām ātri, efektīvi un visaptveroši novērst IKT risku un nodrošināt augstu digitālās darbības noturības līmeni;

3) Regulas Nr. 2022/2554 7. pantā noteiktās prasības par finanšu tirgus dalībnieku — finanšu vienību — vajadzībām piemērotu, uzticamu, atbilstošu informācijas un komunikācijas tehnoloģiju sistēmu, protokolu un rīku izmantošanu un atjaunošanu;

4) Regulas Nr. 2022/2554 8. pantā noteiktās prasības par IKT riska avotu identifikāciju, tai skaitā klasifikāciju, dokumentēšanu un regulāru pārskatīšanu;

5) Regulas Nr. 2022/2554 9. pantā noteiktās prasības par informācijas un komunikācijas tehnoloģiju sistēmu aizsardzību un profilaksi, tai skaitā uzraudzību un kontroli, lai mazinātu IKT riska ietekmi, kā arī informācijas un komunikācijas tehnoloģiju sistēmu noturības, nepārtrauktības un pieejamības nodrošināšanu;

6) Regulas Nr. 2022/2554 10. pantā noteiktās prasības par tādu mehānismu ieviešanu, lai nekavējoties atklātu ar IKT saistītus incidentus, kā arī minēto mehānismu regulāru testēšanu;

7) Regulas Nr. 2022/2554 11. pantā noteiktās prasības attiecībā uz reaģēšanu un seku novēršanu, tai skaitā informācijas un komunikācijas tehnoloģiju sistēmu darbības nepārtrauktības politikas izveidi, kā arī darbības nepārtrauktības plānu nodrošināšanu un testēšanu;

8) Regulas Nr. 2022/2554 12. pantā noteiktās prasības par informācijas un komunikācijas tehnoloģiju sistēmu un datu rezerves kopiju veidošanas politiku un procedūrām, to atjaunošanas un atgūšanas procedūrām un metodēm, tai skaitā rezerves informācijas un komunikācijas tehnoloģiju sistēmas nodrošināšanu, kā arī ar IKT saistītiem incidentiem nepieciešamu IKT sistēmu pārbaužu veikšanu;

9) Regulas Nr. 2022/2554 13. pantā noteiktās prasības par personāla mācīšanu un attīstību, tai skaitā kvalificēta tā finanšu vienības personāla nodrošināšanu, kas apkopo informāciju attiecībā uz ar IKT saistītiem incidentiem un analizē to ietekmi uz finanšu tirgus dalībnieka — finanšu vienības — digitālās darbības noturību, kā arī veic informācijas un komunikācijas tehnoloģiju sistēmu darbības uzlabojumus vai nodrošina tās nepārtrauktību;

10) Regulas Nr. 2022/2554 14. pantā noteiktās prasības par krīzes saziņu, tai skaitā krīzes saziņas plānu izveidi, klientu, darījumu partneru un sabiedrības informēšanu par būtiskiem ar IKT saistītiem incidentiem vai ievainojamību;

11) Regulas Nr. 2022/2554 17. pantā noteiktās prasības ar IKT saistītu incidentu pārvaldības procesa izveidei un ar IKT saistītu incidentu un būtisku kiberdraudu reģistrācijas nodrošināšanai;

12) Regulas Nr. 2022/2554 18. pantā noteiktās prasības ar IKT saistītu incidentu klasifikācijai, ietekmes noteikšanai un būtisku kiberdraudu klasifikācijai;

13) Regulas Nr. 2022/2554 19. pantā noteiktās prasības par ziņošanu attiecībā uz būtiskiem ar IKT saistītiem incidentiem, brīvprātīgu paziņošanu par būtiskiem kiberdraudiem, tai skaitā ziņošanu Latvijas Bankai un klientu informēšanu;

14) Regulas Nr. 2022/2554 III nodaļā, tai skaitā 23. pantā, kredītiestādei, maksājumu iestādei, elektroniskās naudas iestādei un konta informācijas pakalpojumu sniedzējam noteiktās prasības attiecībā uz ziņošanu par būtiskiem darbības vai drošības, vai ar maksājumiem saistītiem incidentiem;

15) Regulas Nr. 2022/2554 24. pantā noteiktās vispārējās prasības par digitālās darbības noturības testu veikšanu, tai skaitā atbilstošu vispārējās digitālās darbības noturības testēšanu, konstatēto trūkumu novēršanu un riskos balstītu pieeju;

16) Regulas Nr. 2022/2554 25. pantā noteiktās prasības par informācijas un komunikācijas tehnoloģiju rīku un sistēmu testēšanu, tai skaitā digitālās darbības noturības testēšanas programmas atbilstību un pienācīgu testēšanu;

17) Regulas Nr. 2022/2554 26. pantā noteiktās prasības par informācijas un komunikācijas tehnoloģiju rīku, sistēmu un procesu padziļinātu testēšanu, kā arī kritiski svarīgo vai svarīgo funkciju padziļinātu testēšanu;

18) Regulas Nr. 2022/2554 27. pantā noteiktās prasības testētājiem, tai skaitā prasības par padziļinātas testēšanas ārējo testētāju izvēli vai iekšējo testētāju atbilstību;

19) Regulas Nr. 2022/2554 28. pantā noteiktās prasības par vispārējiem IKT riska, kas saistīts ar trešo personu, stabilas pārvaldības principiem, tai skaitā prasības par ar trešo personu saistīta IKT riska stratēģiju uzturēšanu un ziņošanu Latvijas Bankai par spēkā esošiem un plānotajiem līgumiem ar trešajām personām, kas sniedz IKT pakalpojumus;

20) Regulas Nr. 2022/2554 29. pantā noteiktās prasības par IKT koncentrācijas riska sākotnējo novērtējumu, tai skaitā identificēšanu un novērtēšanu, kā arī līguma ar trešo personu, kas sniedz IKT pakalpojumus, atbilstību digitālās darbības noturības stratēģijai;

21) Regulas Nr. 2022/2554 30. pantā noteiktās prasības par finanšu tirgus dalībnieka — finanšu vienības — līguma ar trešo personu, kas sniedz IKT pakalpojumus, būtiskiem noteikumiem un formu;

22) Regulas Nr. 2022/2554 45. pantā noteiktās prasības par atbilstošu kārtību kiberdraudu informācijas un izlūkdatu apmaiņai, tai skaitā prasību ziņot Latvijas Bankai par dalību minētās informācijas apmaiņā un tās izbeigšanu.

(2) Latvijas Banka ir tiesīga šā likuma 10. panta trešajā daļā noteiktās sankcijas un ceturtajā daļā noteiktos administratīvos pasākumus piemērot, ja fiziskā vai juridiskā persona neievēro:

1) Regulas Nr. 2024/1689 5. pantā noteiktās prasības par aizliegtu mākslīgā intelekta praksi;

2) Regulas Nr. 2024/1689 16. pantā noteiktās prasības par augsta riska MI sistēmas nodrošinātāja pienākumiem, tai skaitā prasības par augsta riska MI sistēmas izstrādi, kā arī nepieciešamo kvalitātes vadības, dokumentācijas un atbilstības novērtēšanas pasākumu nodrošināšanu;

3) Regulas Nr. 2024/1689 22. pantā noteiktās prasības augsta riska MI sistēmas nodrošinātāja pilnvarotā pārstāvja iecelšanai, veicamajiem uzdevumiem un pilnvarojuma izbeigšanai, tai skaitā prasības informēšanai par izbeigto pilnvarojumu un tā izbeigšanas iemesliem;

4) Regulas Nr. 2024/1689 23. pantā noteiktās prasības par importētāja pienākumiem, tai skaitā par augsta riska MI sistēmas laišanu tirgū, atbilstības novērtēšanu un tehniskās dokumentācijas sagatavošanu, kā arī par pilnvarotā pārstāvja iecelšanu, ja augsta riska mākslīgā intelekta nodrošinātāji ir reģistrēti trešajās valstīs;

5) Regulas Nr. 2024/1689 24. pantā noteiktās prasības par izplatītāja pienākumiem, tai skaitā par augsta riska MI sistēmas atbilstības un dokumentācijas nodrošināšanu, kā arī sadarbību ar Latvijas Banku;

6) Regulas Nr. 2024/1689 26. pantā noteiktās prasības par augsta riska MI sistēmas uzturētāja pienākumiem, tai skaitā par kontroles un novērtējuma nodrošināšanu, MI sistēmas darbības uzraudzību un informācijas sniegšanu par MI sistēmas lietošanu, kā arī sadarbību ar Latvijas Banku;

7) Regulas Nr. 2024/1689 31. pantā noteiktās prasības attiecībā uz paziņotajām struktūrām, tai skaitā augsta riska MI sistēmas atbilstības novērtēšanas uzdevumu veikšanu;

8) Regulas Nr. 2024/1689 33. panta 1., 3. un 4. punktā noteiktās prasības par paziņoto struktūru meitasuzņēmumiem un apakšuzņēmumu līgumu slēgšanu, tai skaitā procedūras un prasības paziņoto struktūru līgumu slēgšanai attiecībā uz augsta riska MI sistēmas atbilstības novērtēšanas uzdevumu veikšanu;

9) Regulas Nr. 2024/1689 34. pantā noteiktās prasības par paziņoto struktūru pienākumiem to darbības laikā, tai skaitā par augsta riska MI sistēmas atbilstības pārbaužu veikšanu un informēšanas pienākuma prasību nodrošināšanu;

10) Regulas Nr. 2024/1689 50. pantā noteiktās prasības par MI sistēmas nodrošinātāja un uzturētāja pienākumu nodrošināt pārredzamību, tai skaitā informēšanu par MI sistēmas lietošanas sekām un mākslīgi ģenerēto vai manipulēto MI sistēmas radīto saturu;

11) Regulas Nr. 2024/1689 99. panta 5. punktā noteiktās prasības par pienākumu sniegt pareizu, pilnīgu un patiesu informāciju Latvijas Bankai un paziņotajām struktūrām.

12